Selon nos recherches, il existe en moyenne plus de 30 combinaisons d’identifiants par personne, en France, utilisées pour accéder aux « objets d'identité », stockés par des fournisseurs d'identité (IdP pour Identity Provider) afin de ne pas avoir à les détenir soi-même et d’accéder à tous services en ligne ; des comptes bancaires personnels aux e-mails professionnels. Par exemple, lorsque le mot de passe Google est utilisé pour effectuer un achat en ligne, c’est le fait d’un IdP. Ainsi, Google détient des informations d'identité et les partage avec la plateforme de vente en ligne lorsque l'action est autorisée. En utilisant ce type d’outil, la responsabilité de la protection des données est transférée à un système qui est protégé par un mot de passe. Quiconque le connaît, le vole ou le crack, pourrait donc dérober une identité. En outre, un IdP est sujet aux erreurs et dans la capacité de divulguer des données ou même bloquer l’accès à une identité, et donc à tous les sites utilisant cet IdP.
Avec ces risques, la méfiance des consommateurs croît et ils se demandent désormais si un système tiers doit avoir un contrôle aussi étendu sur leurs données personnelles, en particulier celles les identifiant. La question de l’impact de l’effacement – droit à l’oubli – et la modification de ces informations se pose également. Face à ces interrogations, l'identité décentralisée (DID) est apparue comme une alternative potentielle intrigante.
Le retour de la responsabilité individuelle avec l’identité décentralisée
L'identité décentralisée, aussi appelée identité auto-souveraine ou distribuée, est un cadre ouvert développé pour aider à établir des connexions d'accès uniques et sécurisées entre des parties ou des systèmes sans avoir recours à un « courtier de connexion » tiers.
La DID est conçue pour imiter un portefeuille numérique, dans lequel les utilisateurs stockent leurs différentes identités. Ainsi, chaque individu est seul responsable de la sécurité de ses données et ne communique que le minimum d'informations nécessaires pour établir une connexion sûre et fiable. Il n'y a pas d'échange de mots de passe ; mais une authentification biométrique, avec notamment une empreinte digitale ou une reconnaissance faciale. En parallèle, la technologie blockchain décentralisée sous-jacente permet de garantir l'authenticité du chiffrement et l'inviolabilité des données, ce qui réduit considérablement le risque de fraude.
Concrètement, cet outil fonctionne grâce à la demande de justificatifs vérifiables à diverses entités, telles qu'un service de transports ou une épicerie de quartier, qui sont ensuite stockés dans le portefeuille numérique. Chaque organisation ou « émetteur d’information » en créé un unique qui contient à la fois des données personnelles, pour prouver l’identité, ainsi que des informations d'authentification, spécifiant les permissions ou niveaux d'accès. Des entités différentes exigent divers niveaux d'attestation pour permettre l'échange de données de confiance, et ne permettent pas l’accès aux mêmes services. Pour s'assurer de la légitimité d'une identification, l’émetteur peut également jouer le rôle de « vérificateur », comme l’agent de police lors d'un contrôle routier.
En redonnant aux individus le contrôle de leurs propres données d'identité, la DID est un concept avec de nombreux avantages. Cependant, comme tout changement technologique majeur, il présente de nombreux défis. Tout d’abord, convaincre les utilisateurs d'accepter un changement aussi important
dans leurs habitudes quotidiennes. Il s'agit effectivement d'une transformation des mentalités qui demandera du temps et un effort important. Ensuite, il y a les contraintes technologiques, comme la normalisation et la maturité technologique. Une autre problématique à prendre en compte est celle du RGPD et du droit à l’oubli, lorsque l’individu souhaitera éliminer son empreinte numérique. Mais le plus grand obstacle est peut-être la gestion et la sécurisation de la surface d'attaque massive créée par la DID.
La face cachée de la DID : des risques de cybersécurité
La surface d'attaque de l'identité décentralisée réside dans plusieurs failles propres à sa nature : le code de la blockchain, la vulnérabilité des utilisateurs humains, les cookies post-autorisation, et les nœuds informatiques. Dans les systèmes décentralisés, tout est basé sur une blockchain puisqu’elle est utilisée pour stocker les opérations d'identité, depuis la création, jusqu’à la révocation des clés, en passant par la restauration. Chaque blockchain contient des nœuds (ou nodes) utilisés pour valider les transactions, les écrire et les lire. La blockchain et ses nœuds sont tous deux constitués de codes et sont donc susceptibles de contenir des bogues, dont certains peuvent s'avérer être des problèmes de sécurité ou des vulnérabilités. Ainsi, chaque mise en œuvre de DID introduit une surface d'attaque différente par son stockage dans la blockchain.
En outre, l’activité humaine peut également être faillible et présenter un risque d’identité. En fin de compte, les systèmes distribués sont aussi sûrs que les clés privées qui les font fonctionner. Or, ce sont les humains, sujets aux erreurs, qui stockent et utilisent ces clés. À cet égard, la promesse de la DID est une arme à double tranchant. Aussi, une identité centralisée standard entraine la réception d’un cookie ou un token d'accès qui identifiera la session durant la prochaine utilisation. Lors d’une authentification à un service en utilisant DID, l’identité pourrait dépendre d'un seul cookie et non du système décentralisé. Or, si un malware est présent sur le téléphone ou l’ordinateur portable utilisé pour la connexion, il peut potentiellement dérober ce cookie, ou token, une fois le flux d'authentification DID terminé.
Un autre problème de sécurité propre aux systèmes distribués réside dans le processus d'établissement de la confiance entre un client et un nœud. Une personne ordinaire ne peut pas lire ou suivre une blockchain complète, les nœuds doivent le faire, tout en fournissant des données fiables pour l’infrastructure. Pourtant, certains nœuds peuvent être malveillants, et un cybercriminel peut essayer d'intercepter la communication de l’utilisateur avec ce nœud afin de modifier les données. Bien que divers systèmes cherchent à résoudre ce problème, il s'agit d'un défi permanent pour tous les systèmes décentralisés, dont ceux d'identité.
De plus, les défis traditionnels en matière de sécurité ne disparaissent pas avec la blockchain. Chaque système distribué doit en effet avoir un certain degré de connexion avec le monde réel et d'autres systèmes hors chaîne. Ces systèmes - des gestionnaires de demandes d'API de nœuds aux ponts entre les registres et les systèmes « classiques » (c'est-à-dire les bases de données relationnelles ou NoSQL, la logique métier des intergiciels ou le code d'application frontal) - sont sensibles à toutes les cybermenaces « ordinaires ».
Des années de mots de passe faibles et d'usurpation d'identité endémique ont mis en évidence la nécessité de disposer de moyens plus solides et plus sûrs d’authentification. L'identité décentralisée offre des possibilités intéressantes, mais elle présente également des défis en matière de cybersécurité et de nouvelles surfaces d'attaque. La technologie DID elle-même en est encore à ses débuts. Il faudra une collaboration étroite des experts du secteur pour surmonter ses vulnérabilités, pour que la DID devienne à l'avenir un moyen efficace de prouver « je suis qui je dis être ».
Avec ces risques, la méfiance des consommateurs croît et ils se demandent désormais si un système tiers doit avoir un contrôle aussi étendu sur leurs données personnelles, en particulier celles les identifiant. La question de l’impact de l’effacement – droit à l’oubli – et la modification de ces informations se pose également. Face à ces interrogations, l'identité décentralisée (DID) est apparue comme une alternative potentielle intrigante.
Le retour de la responsabilité individuelle avec l’identité décentralisée
L'identité décentralisée, aussi appelée identité auto-souveraine ou distribuée, est un cadre ouvert développé pour aider à établir des connexions d'accès uniques et sécurisées entre des parties ou des systèmes sans avoir recours à un « courtier de connexion » tiers.
La DID est conçue pour imiter un portefeuille numérique, dans lequel les utilisateurs stockent leurs différentes identités. Ainsi, chaque individu est seul responsable de la sécurité de ses données et ne communique que le minimum d'informations nécessaires pour établir une connexion sûre et fiable. Il n'y a pas d'échange de mots de passe ; mais une authentification biométrique, avec notamment une empreinte digitale ou une reconnaissance faciale. En parallèle, la technologie blockchain décentralisée sous-jacente permet de garantir l'authenticité du chiffrement et l'inviolabilité des données, ce qui réduit considérablement le risque de fraude.
Concrètement, cet outil fonctionne grâce à la demande de justificatifs vérifiables à diverses entités, telles qu'un service de transports ou une épicerie de quartier, qui sont ensuite stockés dans le portefeuille numérique. Chaque organisation ou « émetteur d’information » en créé un unique qui contient à la fois des données personnelles, pour prouver l’identité, ainsi que des informations d'authentification, spécifiant les permissions ou niveaux d'accès. Des entités différentes exigent divers niveaux d'attestation pour permettre l'échange de données de confiance, et ne permettent pas l’accès aux mêmes services. Pour s'assurer de la légitimité d'une identification, l’émetteur peut également jouer le rôle de « vérificateur », comme l’agent de police lors d'un contrôle routier.
En redonnant aux individus le contrôle de leurs propres données d'identité, la DID est un concept avec de nombreux avantages. Cependant, comme tout changement technologique majeur, il présente de nombreux défis. Tout d’abord, convaincre les utilisateurs d'accepter un changement aussi important
dans leurs habitudes quotidiennes. Il s'agit effectivement d'une transformation des mentalités qui demandera du temps et un effort important. Ensuite, il y a les contraintes technologiques, comme la normalisation et la maturité technologique. Une autre problématique à prendre en compte est celle du RGPD et du droit à l’oubli, lorsque l’individu souhaitera éliminer son empreinte numérique. Mais le plus grand obstacle est peut-être la gestion et la sécurisation de la surface d'attaque massive créée par la DID.
La face cachée de la DID : des risques de cybersécurité
La surface d'attaque de l'identité décentralisée réside dans plusieurs failles propres à sa nature : le code de la blockchain, la vulnérabilité des utilisateurs humains, les cookies post-autorisation, et les nœuds informatiques. Dans les systèmes décentralisés, tout est basé sur une blockchain puisqu’elle est utilisée pour stocker les opérations d'identité, depuis la création, jusqu’à la révocation des clés, en passant par la restauration. Chaque blockchain contient des nœuds (ou nodes) utilisés pour valider les transactions, les écrire et les lire. La blockchain et ses nœuds sont tous deux constitués de codes et sont donc susceptibles de contenir des bogues, dont certains peuvent s'avérer être des problèmes de sécurité ou des vulnérabilités. Ainsi, chaque mise en œuvre de DID introduit une surface d'attaque différente par son stockage dans la blockchain.
En outre, l’activité humaine peut également être faillible et présenter un risque d’identité. En fin de compte, les systèmes distribués sont aussi sûrs que les clés privées qui les font fonctionner. Or, ce sont les humains, sujets aux erreurs, qui stockent et utilisent ces clés. À cet égard, la promesse de la DID est une arme à double tranchant. Aussi, une identité centralisée standard entraine la réception d’un cookie ou un token d'accès qui identifiera la session durant la prochaine utilisation. Lors d’une authentification à un service en utilisant DID, l’identité pourrait dépendre d'un seul cookie et non du système décentralisé. Or, si un malware est présent sur le téléphone ou l’ordinateur portable utilisé pour la connexion, il peut potentiellement dérober ce cookie, ou token, une fois le flux d'authentification DID terminé.
Un autre problème de sécurité propre aux systèmes distribués réside dans le processus d'établissement de la confiance entre un client et un nœud. Une personne ordinaire ne peut pas lire ou suivre une blockchain complète, les nœuds doivent le faire, tout en fournissant des données fiables pour l’infrastructure. Pourtant, certains nœuds peuvent être malveillants, et un cybercriminel peut essayer d'intercepter la communication de l’utilisateur avec ce nœud afin de modifier les données. Bien que divers systèmes cherchent à résoudre ce problème, il s'agit d'un défi permanent pour tous les systèmes décentralisés, dont ceux d'identité.
De plus, les défis traditionnels en matière de sécurité ne disparaissent pas avec la blockchain. Chaque système distribué doit en effet avoir un certain degré de connexion avec le monde réel et d'autres systèmes hors chaîne. Ces systèmes - des gestionnaires de demandes d'API de nœuds aux ponts entre les registres et les systèmes « classiques » (c'est-à-dire les bases de données relationnelles ou NoSQL, la logique métier des intergiciels ou le code d'application frontal) - sont sensibles à toutes les cybermenaces « ordinaires ».
Des années de mots de passe faibles et d'usurpation d'identité endémique ont mis en évidence la nécessité de disposer de moyens plus solides et plus sûrs d’authentification. L'identité décentralisée offre des possibilités intéressantes, mais elle présente également des défis en matière de cybersécurité et de nouvelles surfaces d'attaque. La technologie DID elle-même en est encore à ses débuts. Il faudra une collaboration étroite des experts du secteur pour surmonter ses vulnérabilités, pour que la DID devienne à l'avenir un moyen efficace de prouver « je suis qui je dis être ».
------------------------------------------------------------------------
Disclaimer: The text above is a press release that was not written by Finyear.com.
The issuer is solely responsible for the content of this announcement.
Avertissement : Le texte ci-dessus est un communiqué de presse qui n'a pas été rédigé par Finyear.com.
L'émetteur est seul responsable du contenu de cette annonce.
-------------------------------------------------------------------------
Les avis financiers et/ou économiques présentés par les contributeurs de Finyear.com (experts, avocats, observateurs, bloggers, etc...) sont les leurs et peuvent évoluer sans qu’il soit nécessaire de faire une mise à jour des contenus. Les articles présentés ne constituent en rien une invitation à réaliser un quelconque investissement.
The financial and/or economic opinions presented by Finyear.com contributors (experts, lawyers, observers, bloggers, etc.) are their own and may change without the need to update the content. The articles presented do not constitute an invitation to make any investment.
Disclaimer: The text above is a press release that was not written by Finyear.com.
The issuer is solely responsible for the content of this announcement.
Avertissement : Le texte ci-dessus est un communiqué de presse qui n'a pas été rédigé par Finyear.com.
L'émetteur est seul responsable du contenu de cette annonce.
-------------------------------------------------------------------------
Les avis financiers et/ou économiques présentés par les contributeurs de Finyear.com (experts, avocats, observateurs, bloggers, etc...) sont les leurs et peuvent évoluer sans qu’il soit nécessaire de faire une mise à jour des contenus. Les articles présentés ne constituent en rien une invitation à réaliser un quelconque investissement.
The financial and/or economic opinions presented by Finyear.com contributors (experts, lawyers, observers, bloggers, etc.) are their own and may change without the need to update the content. The articles presented do not constitute an invitation to make any investment.